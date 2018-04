Con cuatro hallazgos auditoría sistemas de información de Emergencias Médicas Michelle Gonzalez

(CyberNews) – El informe de auditoría TI-18-05 de la Oficina de la Contralora divulgado el miércoles contiene cuatro hallazgos sobre el funcionamiento de la Oficina de Sistemas de Información.

“La Contraloría de Puerto Rico emite una opinión cualificada sobre los controles internos para la administración de la seguridad, el acceso lógico y la continuidad del servicio de la Oficina de Sistemas de Información del Cuerpo de Emergencias Médicas (CEM). Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos pero no generalizados”, dijo Valdivieso en declaraciones escritas.

Precisó que el informe revela que el Cuerpo de Emergencias Médicas, ahora Negociado de Emergencias Médicas, no había preparado un informe de análisis de riesgos de los sistemas de información computadorizados al 30 de septiembre de 2015. La falta de dicho informe, no permite estimar el impacto de los elementos de riesgo ni planificar cómo protegerlos para reducir los riesgos de daños materiales y la pérdida de información.

“El CEM contaba con 177 computadoras, 10 servidores y las aplicaciones NorthStar Computer Aided Dispatch para los servicios médicos de emergencia, e-Roc para los asuntos administrativos y Kronos para registrar la asistencia del personal”, agregó.

La auditoría de cuatro hallazgos señala deficiencias con el Plan de Continuidad de negocio que no estaba aprobado ni actualizado, y con el Plan de Respuesta de Emergencias que tampoco estaba actualizado. Además, el CEM no contaba con un centro alterno para restaurar sus operaciones y nunca formalizó por escrito el establecer dicho centro alterno con la Agencia Estatal para el Manejo de Emergencias, añadió la contralora.

“Nuestros auditores identificaron la falta de un procedimiento escrito para mantener el control de acceso a las cuentas y la ausencia de un registro sobre el seguimiento, análisis y solución de incidentes de seguridad. Esta situación es contraria a la Política de Seguridad de los Sistemas de Información contenido en la Carta Circular 77-05. Al respecto el Informe recomienda al Comisionado del Negociado del Cuerpo de Emergencias Médicas, que se asegure de que se redacten y aprueben las normas y procedimientos para controlar el acceso a las aplicaciones y sistemas de información, y que imparta instrucciones a la compañía contratada para que mantenga un registro con el análisis de los incidentes que ocurran en los sistemas de información”, sostuvo la funcionaria.

El informe cubre el periodo del 24 de agosto de 2015 al 24 de junio de 2016 y está disponible en www.ocpr.gov.pr.